Habréssa on jo useita artikkeleita Honeypot- ja Deception-tekniikoista (, ). Emme kuitenkaan vieläkään ymmärrä näiden suojavarusteluokkien välisiä eroja. Tätä varten kollegamme (ensimmäinen venäläinen kehittäjä ) päätti kuvata yksityiskohtaisesti näiden ratkaisujen erot, edut ja arkkitehtoniset ominaisuudet.
Selvitetään, mitä "hunajaruukut" ja "petokset" ovat:
"Petosteknologiat" ilmestyivät tietoturvajärjestelmien markkinoille suhteellisen hiljattain. Jotkut asiantuntijat pitävät kuitenkin edelleen Security Deceptionia vain edistyneempinä hunajaruukkuina.
Tässä artikkelissa yritämme korostaa sekä yhtäläisyyksiä että perustavanlaatuisia eroja näiden kahden ratkaisun välillä. Ensimmäisessä osassa puhumme honeypotista, kuinka tämä tekniikka kehittyi ja mitkä ovat sen edut ja haitat. Ja toisessa osassa käsittelemme yksityiskohtaisesti alustojen toimintaperiaatteita hajautetun houkutusinfrastruktuurin luomiseksi (englanniksi Distributed Deception Platform - DDP).
Honeypottien perusperiaate on luoda ansoja hakkereille. Ensimmäiset Deception-ratkaisut kehitettiin samalla periaatteella. Mutta nykyaikaiset DDP:t ovat huomattavasti parempia kuin honeypots sekä toiminnallisuudessa että tehokkuudessa. Petosalustoja ovat: houkuttimia, ansoja, vieheitä, sovelluksia, dataa, tietokantoja, Active Directory. Nykyaikaiset DDP:t voivat tarjota tehokkaita ominaisuuksia uhkien havaitsemiseen, hyökkäysanalyysiin ja vastausten automatisointiin.
Näin ollen Deception on tekniikka yrityksen IT-infrastruktuurin simulointiin ja hakkereiden harhaanjohtamiseen. Tämän seurauksena tällaiset alustat mahdollistavat hyökkäyksen pysäyttämisen ennen kuin ne aiheuttavat merkittävää vahinkoa yrityksen omaisuudelle. Honeypoteissa ei tietenkään ole niin laajaa toiminnallisuutta ja niin automaatiotasoa, joten niiden käyttö vaatii enemmän pätevyyttä tietoturvaosastojen työntekijöiltä.
1. Honeypots, Honeynets ja Sandboxing: mitä ne ovat ja miten niitä käytetään
Termiä "honeypots" käytettiin ensimmäisen kerran vuonna 1989 Clifford Stollin kirjassa "The Cuckoo's Egg", joka kuvaa hakkerin jäljittämisen tapahtumia Lawrence Berkeley National Laboratoryssa (USA). Tämän idean toteutti vuonna 1999 Lance Spitzner, Sun Microsystemsin tietoturva-asiantuntija, joka perusti Honeynet Project -tutkimusprojektin. Ensimmäiset hunajaruukut vaativat erittäin paljon resursseja, ja niitä oli vaikea asentaa ja ylläpitää.
Katsotaanpa tarkemmin, mikä se on honeypots и hunajaverkkoja. Honeypotit ovat yksittäisiä isäntiä, joiden tarkoituksena on houkutella hyökkääjiä tunkeutumaan yrityksen verkkoon ja yrittämään varastaa arvokasta dataa sekä laajentaa verkon peittoaluetta. Honeypot (kirjaimellisesti käännettynä "hunajatynnyri") on erityinen palvelin, jossa on joukko erilaisia verkkopalveluita ja protokollia, kuten HTTP, FTP jne. (katso kuva 1).
Jos yhdistät useita honeypots verkkoon, niin saamme tehokkaamman järjestelmän hunajaverkko, joka on emulointi yrityksen yritysverkosta (verkkopalvelin, tiedostopalvelin ja muut verkkokomponentit). Tämän ratkaisun avulla voit ymmärtää hyökkääjien strategiaa ja johtaa heidät harhaan. Tyypillinen hunajaverkko toimii pääsääntöisesti rinnakkain työverkon kanssa ja on siitä täysin riippumaton. Tällainen ”verkko” voidaan julkaista Internetissä erillisen kanavan kautta, sille voidaan myös varata erillinen IP-osoitealue (ks. kuva 2).
Honeynetin käytön tarkoitus on näyttää hakkerille, että hän on oletettavasti tunkeutunut organisaation yritysverkkoon; itse asiassa hyökkääjä on "eristetyssä ympäristössä" ja tietoturva-asiantuntijoiden tiiviissä valvonnassa (katso kuva 3).
Tässä meidän on mainittava myös sellainen työkalu kuin "hiekkalaatikko"(Englanti, hiekkalaatikko), jonka avulla hyökkääjät voivat asentaa ja suorittaa haittaohjelmia eristetyssä ympäristössä, jossa IT voi seurata heidän toimintaansa tunnistaakseen mahdolliset riskit ja ryhtyäkseen asianmukaisiin vastatoimiin. Tällä hetkellä hiekkalaatikko on tyypillisesti toteutettu virtuaalipalvelimella omistetuissa virtuaalikoneissa. On kuitenkin huomattava, että hiekkalaatikko näyttää vain kuinka vaaralliset ja haitalliset ohjelmat käyttäytyvät, kun taas honeynet auttaa asiantuntijaa analysoimaan "vaarallisten pelaajien" käyttäytymistä.
Hunajaverkkojen ilmeinen etu on, että ne johtavat hyökkääjiä harhaan ja tuhlaavat heidän energiaansa, resurssejaan ja aikaansa. Seurauksena on, että todellisten kohteiden sijaan ne hyökkäävät vääriin ja voivat lopettaa hyökkäyksen verkkoon saavuttamatta mitään. Useimmiten honeynets-tekniikoita käytetään valtion virastoissa ja suurissa yrityksissä, rahoitusorganisaatioissa, koska nämä ovat rakenteet, jotka osoittautuvat suurten kyberhyökkäysten kohteiksi. Pienet ja keskisuuret yritykset (SMB) tarvitsevat kuitenkin myös tehokkaita työkaluja tietoturvahäiriöiden estämiseen, mutta pk-sektorin honeynetit eivät ole niin helppokäyttöisiä, koska näin monimutkaisiin töihin ei ole pätevää henkilöstöä.
Honeypots- ja Honeynets-ratkaisujen rajoitukset
Miksi hunajaruukut ja hunajaverkot eivät ole parhaita ratkaisuja hyökkäysten torjumiseen nykyään? On huomattava, että hyökkäykset ovat yhä laajempia, teknisesti monimutkaisempia ja pystyvät aiheuttamaan vakavaa vahinkoa organisaation IT-infrastruktuurille, ja kyberrikollisuus on saavuttanut täysin toisen tason ja edustaa erittäin organisoituja varjoliiketoiminnan rakenteita, jotka on varustettu kaikilla tarvittavilla resursseilla. Tähän on lisättävä "inhimillinen tekijä" (virheet ohjelmisto- ja laiteasetuksissa, sisäpiiriläisten toiminta jne.), joten pelkän tekniikan käyttäminen hyökkäysten estämiseksi ei tällä hetkellä enää riitä.
Alla luetellaan hunajaruukkujen (hunajaverkkojen) tärkeimmät rajoitukset ja haitat:
-
Honeypotit kehitettiin alun perin tunnistamaan uhkia, jotka ovat yrityksen verkon ulkopuolella. Niiden tarkoituksena on pikemminkin analysoida hyökkääjien käyttäytymistä, eikä niitä ole suunniteltu reagoimaan nopeasti uhkiin.
-
Hyökkääjät ovat yleensä jo oppineet tunnistamaan emuloidut järjestelmät ja välttämään hunajaruukkuja.
-
Honeynetillä (honeypots) on erittäin alhainen interaktiivisuus ja vuorovaikutus muiden turvajärjestelmien kanssa, minkä vuoksi honeypotteja käyttämällä on vaikea saada yksityiskohtaista tietoa hyökkäyksistä ja hyökkääjistä ja siten reagoida tehokkaasti ja nopeasti tietoturvaloukkauksiin. . Lisäksi tietoturva-asiantuntijat saavat suuren määrän vääriä uhkavaroituksia.
-
Joissakin tapauksissa hakkerit voivat käyttää vaarantunutta hunajapottia lähtökohtana jatkaakseen hyökkäystään organisaation verkkoon.
-
Ongelmia syntyy usein honeypottien skaalautuvuuden, suuren käyttökuorman ja tällaisten järjestelmien konfiguroinnin kanssa (ne vaativat erittäin päteviä asiantuntijoita, niillä ei ole kätevää hallintaliittymää jne.). Honeypottien käyttöönotossa on suuria vaikeuksia erityisissä ympäristöissä, kuten IoT, POS, pilvijärjestelmät jne.
2. Petostekniikka: edut ja perustoimintaperiaatteet
Tutkittuamme kaikki honeypottien edut ja haitat, tulemme siihen tulokseen, että tarvitaan täysin uusi lähestymistapa tietoturvahäiriöihin reagoimiseen, jotta hyökkääjien toimintaan voidaan kehittää nopea ja riittävä vastaus. Ja tällainen ratkaisu on tekniikka Kyberpetos (turvapetos).
Terminologia "Kyberpetos", "Turvallisuuspetos", "Petostekniikka", "Distributed Deception Platform" (DDP) on suhteellisen uusi ja ilmestyi ei niin kauan sitten. Itse asiassa kaikki nämä termit tarkoittavat "petosteknologioiden" tai "IT-infrastruktuurin simulointitekniikoiden ja hyökkääjien disinformaation simulointia". Yksinkertaisimmat Deception-ratkaisut ovat hunajapurujen ideoiden kehitystyötä, vain teknisesti edistyneemmällä tasolla, mikä edellyttää uhkien havaitsemisen ja niihin reagoimisen suurempaa automatisointia. Markkinoilla on kuitenkin jo vakavia DDP-luokan ratkaisuja, jotka on helppo ottaa käyttöön ja skaalata ja joissa on myös vakava arsenaali "ansaa" ja "syöttiä" hyökkääjille. Deceptionin avulla voit esimerkiksi emuloida IT-infrastruktuuriobjekteja, kuten tietokantoja, työasemia, reitittimiä, kytkimiä, pankkiautomaatteja, palvelimia ja SCADA:ta, lääketieteellisiä laitteita ja IoT:tä.
Miten Distributed Deception Platform toimii? DDP:n käyttöönoton jälkeen organisaation IT-infrastruktuuri rakennetaan ikään kuin kahdesta kerroksesta: ensimmäinen kerros on yrityksen todellinen infrastruktuuri ja toinen "emuloitu" ympäristö, joka koostuu houkuttimista ja syöteistä. vieheet), jotka sijaitsevat. todellisissa fyysisissä verkkolaitteissa (katso kuva 4).
Hyökkääjä voi esimerkiksi löytää vääriä tietokantoja, joissa on "luottamuksellisia asiakirjoja", oletettavasti "etuoikeutettujen käyttäjien" väärennettyjä tunnistetietoja - kaikki nämä ovat houkutuksia, jotka voivat kiinnostaa rikkojia ja kääntää siten heidän huomionsa pois yrityksen todellisista tietovaroista (katso kuva 5).
DDP on uusi tuote tietoturvatuotemarkkinoilla, nämä ratkaisut ovat vain muutaman vuoden vanhoja ja toistaiseksi vain yrityssektorilla on niihin varaa. Mutta myös pienet ja keskisuuret yritykset voivat pian hyödyntää Deceptionia vuokraamalla DDP:tä erikoistuneilta palveluntarjoajilta "palveluna". Tämä vaihtoehto on vieläkin kätevämpi, koska omaa korkeasti koulutettua henkilökuntaa ei tarvita.
Deception-tekniikan tärkeimmät edut on esitetty alla:
-
Aitous (aitous). Petosteknologia pystyy toistamaan yrityksen täysin autenttisen IT-ympäristön, emuloimalla laadullisesti käyttöjärjestelmiä, IoT:tä, POS:tä, erikoisjärjestelmiä (lääketieteellinen, teollinen jne.), palveluita, sovelluksia, valtuustietoja jne. Housut sekoitetaan huolellisesti työympäristöön, eikä hyökkääjä voi tunnistaa niitä hunajaruukkuiksi.
-
käyttöönotto. DDP:t käyttävät työssään koneoppimista (ML). ML:n avulla varmistetaan yksinkertaisuus, asetusten joustavuus ja Deceptionin toteutuksen tehokkuus. ”Ansat” ja ”housut” päivittyvät erittäin nopeasti houkuttelemalla hyökkääjän yrityksen ”vääräyn” IT-infrastruktuuriin, ja sillä välin kehittyneet tekoälyyn perustuvat analyysijärjestelmät voivat havaita hakkereiden aktiivisen toiminnan ja estää niitä (esim. yrittää käyttää Active Directory -pohjaisia vilpillisiä tilejä).
-
Helppo käyttö. Nykyaikaisia hajautettuja petosalustoja on helppo ylläpitää ja hallita. Niitä hallitaan tyypillisesti paikallisen tai pilvikonsolin kautta, ja niissä on integrointiominaisuudet yrityksen SOC:n (Security Operations Center) kanssa API:n kautta ja moniin olemassa oleviin suojaustoimintoihin. DDP:n ylläpito ja toiminta ei vaadi korkeasti koulutettujen tietoturva-asiantuntijoiden palveluita.
-
Skaalautuvuus. Tietoturvapetoksia voidaan käyttää fyysisessä, virtuaalisessa ja pilviympäristössä. DDP:t toimivat menestyksekkäästi myös erikoistuneiden ympäristöjen kanssa, kuten IoT, ICS, POS, SWIFT jne. Kehittyneet Deception-alustat voivat projisoida "petosteknologioita" etätoimistoihin ja eristyneisiin ympäristöihin ilman, että tarvitaan täyden alustan käyttöönottoa.
-
Vuorovaikutus. Käyttämällä tehokkaita ja houkuttelevia houkutuksia, jotka perustuvat oikeisiin käyttöjärjestelmiin ja jotka on taitavasti sijoitettu todellisen IT-infrastruktuurin joukkoon, Deception-alusta kerää laajaa tietoa hyökkääjästä. Tämän jälkeen DDP varmistaa, että uhkavaroitukset lähetetään, raportit luodaan ja tietoturvaloukkauksiin vastataan automaattisesti.
-
Hyökkäyspiste. Nykyaikaisessa Deceptionissa ansoja ja syöttejä sijoitetaan verkon kantaman sisäpuolelle, ei sen ulkopuolelle (kuten hunajaruukkujen tapauksessa). Tämä houkutuskäyttöönottomalli estää hyökkääjää käyttämästä niitä tukikohtana hyökätäkseen yrityksen todellista IT-infrastruktuuria vastaan. Deception-luokan edistyneemmissä ratkaisuissa on liikenteen reititysominaisuudet, joten voit ohjata kaiken hyökkääjäliikenteen erityisen yhteyden kautta. Tämän avulla voit analysoida hyökkääjien toimintaa vaarantamatta yrityksen arvokasta omaisuutta.
-
"Petosteknologioiden" vakuuttavuus. Hyökkäyksen alkuvaiheessa hyökkääjät keräävät ja analysoivat tietoja IT-infrastruktuurista, minkä jälkeen ne käyttävät niitä horisontaaliseen liikkumiseen yritysverkossa. "Petosteknologioiden" avulla hyökkääjä joutuu ehdottomasti "ansaihin", jotka johtavat hänet pois organisaation todellisista varoista. DDP analysoi mahdollisia polkuja pääsyyn valtuustietoihin yritysverkossa ja antaa hyökkääjälle "syöttikohteita" todellisten valtuustietojen sijaan. Nämä ominaisuudet puuttuivat pahoin honeypot-tekniikoista. (Katso kuva 6).
Petos VS Honeypot
Ja lopuksi pääsemme tutkimuksemme mielenkiintoisimpaan hetkeen. Yritämme tuoda esiin tärkeimmät erot Deception- ja Honeypot-tekniikoiden välillä. Joistakin yhtäläisyyksistä huolimatta nämä kaksi tekniikkaa ovat edelleen hyvin erilaisia, perusideasta käyttötehokkuuteen.
-
Erilaisia perusideoita. Kuten yllä kirjoitimme, hunajaruukut asennetaan "housuiksi" yrityksen arvokkaan omaisuuden ympärille (yritysverkon ulkopuolelle), mikä yrittää häiritä hyökkääjien huomion. Honeypot-tekniikka perustuu ymmärrykseen organisaation infrastruktuurista, mutta honeypotsista voi tulla lähtökohta hyökkäykselle yrityksen verkkoa vastaan. Petosteknologiaa kehitetään hyökkääjän näkökulmaa huomioiden ja sen avulla voit tunnistaa hyökkäyksen varhaisessa vaiheessa, jolloin tietoturva-asiantuntijat saavat merkittävän edun hyökkääjiin verrattuna ja saavat aikaa.
-
"Vetovoima" vs "Sekaannus". Hunajaruukkuja käytettäessä menestys riippuu hyökkääjien huomion kiinnittämisestä ja niiden motivoimisesta edelleen siirtymään hunajaruukun kohteeseen. Tämä tarkoittaa, että hyökkääjän on silti päästävä hunajapotti, ennen kuin voit pysäyttää hänet. Siten hyökkääjien läsnäolo verkossa voi kestää useita kuukausia tai kauemmin, ja tämä johtaa tietovuotoon ja -vaurioihin. DDP:t jäljittelevät laadullisesti yrityksen todellista IT-infrastruktuuria; niiden toteutuksen tarkoituksena ei ole vain herättää hyökkääjän huomio, vaan hämmentää häntä siten, että hän tuhlaa aikaa ja resursseja, mutta ei pääse käsiksi yrityksen todellisiin varoihin. yhtiö.
-
"Rajoitettu skaalautuvuus" VS "automaattinen skaalautuvuus". Kuten aiemmin todettiin, hunajaruukuilla ja -verkoilla on skaalausongelmia. Tämä on vaikeaa ja kallista, ja lisätäksesi hunajapottien määrää yritysjärjestelmässä, sinun on lisättävä uusia tietokoneita, käyttöjärjestelmää, ostettava lisenssejä ja jaettava IP. Lisäksi tällaisten järjestelmien hallintaan tarvitaan pätevää henkilöstöä. Petosalustat ottavat käyttöön automaattisesti infrastruktuurisi laajenemisen ilman merkittäviä lisäkustannuksia.
-
"Suuri määrä vääriä positiivisia" VS "ei vääriä positiivisia". Ongelman ydin on, että jopa yksinkertainen käyttäjä voi kohdata hunajapotin, joten tämän tekniikan "haittapuolena" on suuri määrä vääriä positiivisia, mikä häiritsee tietoturva-asiantuntijat heidän työstään. DDP:n "syötit" ja "ansat" piilotetaan huolellisesti tavalliselta käyttäjältä ja ne on suunniteltu vain hyökkääjälle, joten jokainen signaali tällaisesta järjestelmästä on ilmoitus todellisesta uhasta, ei väärä positiivinen.
Johtopäätös
Mielestämme Deception-tekniikka on valtava parannus vanhaan Honeypots-tekniikkaan verrattuna. Pohjimmiltaan DDP:stä on tullut kattava suojausalusta, jota on helppo ottaa käyttöön ja hallita.
Tämän luokan nykyaikaisilla alustoilla on tärkeä rooli verkkouhkien tarkassa havaitsemisessa ja niihin tehokkaassa reagoinnissa, ja niiden integrointi muihin tietoturvapinon komponentteihin lisää automaatiotasoa, lisää tapauksiin reagoimisen tehokkuutta ja vaikuttavuutta. Petosalustat perustuvat autenttisuuteen, skaalautumiseen, hallinnan helppouteen ja integrointiin muihin järjestelmiin. Kaikki tämä antaa merkittävän edun tietoturvaloukkauksiin reagointinopeudessa.
Lisäksi Xello Deception -alustaa toteutettujen tai pilotoitujen yritysten pentesteistä tehtyjen havaintojen perusteella voimme vetää johtopäätökset, että kokeneetkaan testaajat eivät usein pysty tunnistamaan syöttiä yritysverkostossa ja epäonnistuvat joutuessaan kiinni asetettuihin ansoihin. Tämä tosiasia vahvistaa jälleen kerran Deceptionin tehokkuuden ja suuret näkymät, jotka avautuvat tälle teknologialle tulevaisuudessa.
Tuotteen testaus
Jos olet kiinnostunut Deception-alustasta, olemme valmiita .
Pysy kuulolla kanavien päivityksistä (, , , )!
Lähde: will.com